Skip to content

威胁情报与全流量异常检测案例分析

滴滴出行安全说第七期,威胁情报与全流量异常检测案例分析。学习笔记。

分析APT事件所要具备的能力

流量分析

  • 使用协议分析工具,独立识别各种通讯协议,对异常流量尝试着手动重组还原。> Wireshark源代码分析
  • 了解常用工具的通讯加密协议,具有解包还原的能力。

远控软件和指纹

熟悉远控软件和各种攻击类软件的指纹。

  • 木马指纹
  • 部分常见应用漏洞扫描器的指纹。e.g. Sqlmap

可疑邮件

  • 邮件头
  • 附带的恶意样本的分析
  • 邮件XSS代码的分析
  • 邮件恶意Link连接的分析

恶意样本分析

取证分析、恶意样本分析。

  • 脱壳
  • 植入、反弹域名和各种回传方式的分析

  • 自身加密算法的逆向分析

  • 对一个木马家族变种的聚类分析
  • 对木马控制端的研究
  • 对沙箱逃逸技术的检测和分析
  • 熟练搭建各种蜜罐系统

安全情报实现威胁检测和响应的闭环

威胁检测和响应的闭环

关于安全研究人员

  • 挖掘、跟踪漏洞,分析攻击数据,组件识别爬虫,输出组件库。

  • 分析攻击、捕获跟踪漏洞,并输出研究成果。

DNS安全检测分析

图:模型

图:10大检测

  • 检测模型

  • 10大检测方向

  • 分析主机信誉值

流量分析实例

  1. 利用structs2-045进行RCE的完整攻击路线,挖矿流量
  2. 菜刀webshell流量,分析攻击路径,攻击者行为
  3. Linux门罗币挖矿。如何绕过杀软?隐藏在图片中的shell脚本,通过dd分离
  4. 国内Windows DDoS客户端案例